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如 今 ，94% 的 组 织 使 用 某 种 类 型 的 云 ，58% 的 企业 采用 混合 云 战略 。 混 


合 云 是 一 种 1T 架构 ， 它 在 两 个 或 多 个 互联 但 独立 的 环境 中 整合 了 一 定 程 无 效 安全 防护 的 影响 

度 的 工作 负载 可 移植 性 、 编 排 和 管理 ， 包 括 裸 机 、 谨 拟 化 、 私 有 云 和 公 i 
共 云 。 代 助 混合 云 架构 ， 您 可 以 在 任何 互联 环境 中 运行 工作 负载 ， 在 环 人 
境 之 间 移 动工 作 负载 ， 并 交 蔡 使 用 这 些 环境 中 的 资源 。 ET 


企业 采用 混合 云 环境 来 : 


392 万 美元 


.连接 来 自 不 同 供应 商 的 基础 架构 、 平 台 、 应 用 和 工具 。 2019 年 数据 泄露 平均 成 本 。 


， 提 高 效率 和 可 扩展 性 。 
， 降 低 成 本 。 

， 提 升 敏捷 性 。 

， 优 化 数据 放置 。 


/ 


不 管 您 处 于 混合 云 之 旅 的 哪个 阶段 ， 安 


279 天 
2019 年 识别 和 控制 数据 泄露 
平均 用 时 ”。 


重 中 之 重 。 事 实 上 ，81% 的 122 万 美元 


企业 认为 云 安全 性 是 个 挑战 。 混 合 云 安 全 漏洞 通 
控制 形 失 ， 包 括 未 经 批准 的 公共 云 使 用 、 资 源 缺 
足 、 配 置 管 理 不 善 和 访问 控制 无 效 。 未 经 授权 的 


来 访问 敏感 数据 和 内 部 资源 。 


安全 漏洞 可 能 会 造成 巨大 损失 。 
中 业务 损失 占 该 成 本 的 36.2% 。 


常 表现 为 资源 监督 和 识别 和 控制 泄露 后 的 成 本 节约 


z 可 见 性 、 变 更 控制 不 200 天 


可 能 性 为 29.6%”。2019 年 ， 数 
时 间 均 有 所 增加 ” 


用 户 可 以 利用 这 些 漏洞 


或 更 少 ” 
数据 泄露 的 平均 成 本 为 392 万 美元 ， 其 
威胁 还 在 不 断 加 剧 。 两 年 内 发 生 泄露 的 29.6% 
居 记 录 的 平均 数量 以 及 识别 和 控制 泄露 的 两 年 内 遭遇 数据 泄露 的 概率 ?。 


即使 面临 众多 挑战 ， 您 还 是 可 以 参照 本 地 与 云 架构 之 间 的 区 别 调整 您 的 
方法 ， 从 而 部 署 安全 至 上 的 混合 云 。 本 电子 书 讨论 了 在 混合 云 中 保护 您 


业务 的 新 方法 和 注意 事项 。 


1 Piextera “Flexera RightScale 2019 年 度 


现状 族 告 ”，2019 


2 后 。info.flexerasoftware.com/SLO-WP-State-of-the-Cloud-2019。 


2 /BM Security，“2019 年 数据 没 露 成 林 族 告 ”，2019 年 。ibm.com/security/data-breach。 
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有 效 的 安全 需要 一 种 能 够 整合 人 员 、 流 程 和 技术 的 全 面 方法 。 仪 仪 部 署 以 安全 为 中 心 的 产品 和 工具 并 不 足以 保护 您 的 基 
础 架构 、 云 或 业务 。 您 还 必须 实施 安全 策略 和 流程 ， 以 利用 您 的 产品 功能 有 效 降 低 安全 风险 。 随 着 技术 、 威 胁 和 需求 的 
发 展 ， 这 些 策略 和 流程 必须 随 着 时 间 的 推移 进行 调整 。 


混合 云 环 境 要 求 您 转变 安全 方法 。 因 为 它们 没有 定义 的 边界 ， 基 于 边界 的 传统 安全 方法 是 无 效 的 。 集 中 式 身 份 管 理 和 访 
问 控制 是 以 云 为 中 心 的 安全 方法 的 关键 。 有 效 的 集中 式 身 份 管理 和 访问 控制 使 用 最 小 特权 原则 ， 仅 向 用 户 提供 他 们 实际 
需要 的 访问 权限 。 这 种 方法 需要 审核 每 个 用 户 的 当前 访问 权限 ， 然 后 重新 评估 每 个 用 户 以 确定 正确 的 访问 级 别 。 


混合 云 安全 还 要 求 多 层次 深度 防御 安全 防护 策略 能 够 结合 环境 中 每 一 层 的 功能 ， 包 括 操作 系统 、 容 器 平台 、 自 动 化 工 
具 、 软 件 即 服务 (SaaS) 资产 和 云 服务 。 


器 | 


操作 系统 


a ; | 寻找 可 帮助 您 确保 安全 合 规 、 实 施 物 理 安全 、 提 高 网 络 安全 、 户 访问 、 陋 离 进程 和 提高 数据 安 
[| 全 的 内 置 工具 。 示 例 包 括 OpenSCAP、USBGuard、 防 火 墙 、 安 全 增强 型 Linuxe (SELinux) 、 身 份 
管理 和 网 络 绑 定 磁盘 加 密 。 


容器 平台 
使 用 平台 和 Kubernetes 中 的 内 置 功能 来 提高 容器 安全 性 。 示 例 包括 容器 集 安 全 策略 、 网 络 流量 控制 、 


洲 
查 


集群 入 口 和 出 口 控制 、 基 于 角色 的 访问 控制 (RBAC) 、 集 成 证 书 管理 和 网 络 微分 段 。 


口 、 | 自动 化 共 
口 闪 ‖ 选择 企业 中 每 个 人 都 可 以 轻松 学 习 和 使 用 的 自动 化 语言 ， 包 括 开发 、 运 维 、 
国人 ”| 问 控制 、 日 志 记录 和 审计 功能 。 有 关 自 动 化 的 更 多 信息 ， 请 参见 第 4 页 。 


和 合 规 团 队 。 寻 求 访 


烛 


E 否 可 以 修改 或 重新 配置 任何 


最 后 ， 您 应 该 重新 考虑 现 有 的 安全 流程 和 工具 。 确 保 您 正在 使 用 所 有 可 用 功能 ， 并 确定 
设置 以 提供 更 好 的 保护 ， 或 者 是 否 需要 新 的 流程 和 工具 。 


1. 创建 当前 IT 资产 和 工具 的 清单 。 


2. 记 录 您 现 有 的 安全 和 网 络 架构 、 网 络 安全 政策 、 工 作 流程 以 及 技能 和 和 人才 缺口 。 


3. 建 立 威胁 模型 并 确定 您 对 网 络 安全 漏洞 的 风险 容忍 度 和 缓解 策略 。 
4. 评 估 您 的 架构 、 策 略 和 流程 ， 以 确定 需要 更 改 的 方面 。 
5. 评 估 您 当前 的 工具 和 资产 ， 确 定 它 们 是 否 可 以 支持 您 更 新 的 策略 和 流程 。 记 录 并 计划 如 何 解决 安全 漏洞 。 
以 下 部 分 讨论 了 混合 云 安全 性 的 关键 注意 事项 ， 并 提供 了 改进 保护 的 提示 。 
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分 割 式 安全 方法 通常 会 导致 安全 ; 


柯 


洞 和 重复 工作 ， 因 为 安全 成 为 应 用 开发 和 


基础 架构 部 署 中 的 事后 补救 措施 。 随 着 开发 速度 和 部 署 灵活 性 的 提高 ， 在 流 


早 考 虑 : 


] 
EE nm 


全 性 变 得 越 来 越 重 要 。 仅 在 开发 周期 结束 时 应 用 有 效 的 安 4 


性 需要 大 量 时 间 ， 这 可 能 导 鱼 


建议 和 最 佳 实践 
使 用 DevSecOps 方法 统一 整个 企业 的 安全 性 。Dev 


交付 延迟 并 导致 团队 无 法 提供 足够 的 安全 性 。 


SecOps 是 一 个 协作 性 框 


架 ， 其 中 安全 是 需要 全 程 关 ; 


的 共 担 责任 。 它 将 安全 性 扩展 


到 所 有 团队 ， 而 


是 让 一 个 独立 的 、 不 相干 的 团队 负责 设置 安全 策略 。 安 全 、 
经 验 教 训 和 见解 。 


队 的 员工 携手 合作 ， 共 享 可 见 性 、 反 馈 、 


开发 和 运 维 甘 
这 种 方法 允许 从 


开始 开发 应 用 和 部 署 基 础 架构 时 就 集成 安全 防护 ， 以 增强 保护 。 


正式 的 培训 计划 可 
您 的 企业 。 


这 些 计 划 应 该 解决 以 下 问题 
。 保持 应 用 和 资源 符合 安全 策略 和 法 规 。 


陪 


帮助 每 个 人 了 解 安全 防护 的 重要 性 以 及 它们 如 何 帮助 保护 


。 为 传统 、 容 器 化 和 混合 云 环境 建立 不 同 的 安全 防 # 


方法 。 


。 创建 修补 策略 ， 
高 管 支持 也 很 重要 。 高 


应 该 鼓励 协作 ， 并 接纳 来 自 


帮助 您 及 时 了 解 新 的 和 已 有 的 安全 漏洞 。 


整个 企业 的 团队 的 反馈 。 


《/> | 各 
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过 


尝试 这 些 操作 以 增加 企业 内 的 协 
作 。 
从 细节 着 手 ， 开 始 发 展 。 


选择 一 个 项 目 开 始 。 鼓 励 实验 和 迭 
代 、 持 续 改 进来 调整 和 优化 您 的 流 
程 。 庆 祝 成 功 并 向 企业 内 的 其 他 人 
展示 已 证 明 的 价值 。 


协商 设 定 明确 的 目标 和 时 间 表 。 
透明 度 对 于 DevSecOps 来 说 至 关 
重要 。 确 保 参 与 的 每 个 人 都 理解 并 
同意 项 目的 目标 和 时 间 表 。 

对 员工 进行 交叉 培训 。 

建立 有 关 安 人 全、 基础 架构 和 开发 的 
学 习 路 径 ， 这 些 学 习 路 径 会 定期 更 
新 并 随时 可 供 所 有 团队 成 员 使 用 。 
创建 安全 工作 组 。 
建立 一 个 集成 的 跨 学 科 团 队 来 定义 
安全 用 例 和 策略 。 

向 他 人 学 习 。 


利用 美国 国家 税务 局 和 国土 安全 部 
等 其 他 组 织 的 调查 结 果 。 


Q 
和 入 


安全 注意 事项 


自动 化 


战术 步骤 

错误 配置 和 不 充分 } 的 变更 控制 是 对 安全 的 最 大 威胁 3。 错 误 配 置 可 能 使 系统 容 a 

易 受 到 攻击 。 变 更 控制 对 于 了 解 谁 修改 了 配置 、 何 时 修改 以 及 在 整个 系统 生 兰 试 这 些 操作 以 开始 实施 安全 目 

命 周 期 中 更 改 了 哪些 内 容 至 关 重 要 。 自 动 化 可 以 帮助 您 简化 日 常 运 维 ， 并 从 动 化 。 

开始 就 将 安全 防护 集成 到 流程 、 应 用 和 基础 架构 中 。 实 际 上 ， 通 过 全 面部 从 单个 项 目 开始 。 

署 安 全 自动 化 ， 可 以 让 因 泄 露 而 造成 的 平均 损失 降低 95%， 但 只 有 16% 的 企 

业已 经 做 到 这 一 点 和 不 要 试图 立马 实现 全 面 自动 化 。 
选择 单个 项 目 或 有 限 数 量 的 任务 

建议 和 最 佳 实践 开始 。 


实施 统一 的 自动 化 策略 ， 以 降低 整个 企业 的 错误 配置 和 人 为 错误 的 风险 。 自 
动 化 简化 并 提高 了 基础 架构 管理 、 应 用 开发 和 安全 运 维 的 一 致 性 ， 以 改进 保 选择 重复 性 任务 。 
护 、 合 规 性 和 变更 控制 。 自动 执行 重复 性 任务 ， 包 括 配置 管 


理 、 软 件 包 和 补丁 管理 、 安 全 漏 酒 
:根据 预先 批准 的 策略 始终 如 一 地 配置 资源 ， 并 在 其 生命 周期 内 以 可 重复 的 。 识别 和 修复 以 及 策略 实施 。 


方式 主动 维护 资源 。 
。 快速 识别 需要 补丁 或 重新 配置 的 系统 。 


WN 


测量 、 调 整 和 重复 。 
以 迭代 方式 部 署 自动 化 、 衡 量 结果 
。 根据 定 义 的 基线 ， 以 一 致 的 方式 跨 大 量 系统 更 轻松 地 应 用 补丁 或 更 改 系统 并 进行 相应 调整 。 


设置 。 
本 计划 进行 扩展 。 

。 通 过 自动 记录 的 操作 日 志 简化 审计 和 故障 排除 。 确保 所 有 自动 化 都 是 可 验证 、 可 审 
为 您 的 自动 化 平台 和 流程 实施 身份 管理 和 访问 控制 ， 有 助 于 确保 只 有 授权 人 计 和 可 共享 的 ， 以 便 企业 内 的 其 他 
员 才 能 执行 自动 化 任务 。 人 可 以 利用 这 些 优势 。 

选择 企业 中 每 个 人 都 可 以 使 用 的 自动 化 平台 。 实 现 通用 、 易 于 学 习 的 自动 化 口 ~ 
语言 的 平台 可 以 改善 : 口 光 

. 可 见 性 。 每 个 人 都 可 以 理解 每 个 自动 化 任务 的 作用 。 国 4 


。 可 重复 性 。 可 访问 的 平台 和 语言 允许 所 有 获得 批准 的 员工 有 效 且 高 效 地 使 
3 上 自动化。 


。 相互 协作 。 自 动 化 任务 可 以 在 您 的 企业 中 共享 ， 人 允许 其 他 团队 利用 已 完成 
的 工作 并 避免 重复 工作 。 


审计 。 多 名 员 yal 工 PJ 以 验 今 证 自 动 化 任务 并 入 看 心 \ 以 进行 时 ih 


3 云 安 全 菊 咒 ，“ 云 六 息 的 主要 威 助 : Egregious 11”，2019 年 3 司 。cloudsecurityalliance.org/artifacts/top-threats-to-cloud-computing-egregious-eleveno 
4 /BM Security，“2019 年 数据 小 圳 成 林 声 告 ”，2019 年 。ibm.com/security/data-breach。 
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安全 注意 事项 


更 新 和 补丁 


重要 意义 二 
未 打 补丁 和 过 时 的 系统 可 能 是 合 规 性 问题 和 安全 漏洞 的 根源 。 事 实 上 ,大 多 战术 步 又 
数 被 利用 的 漏洞 都 是 安全 和 IT 团队 在 发 生 泄 露 时 已 经 知道 的 漏洞 。 遵照 以 下 步骤 创建 更 强大 的 修补 和 
更 新 策略 。 
建议 和 最 佳 实践 机 
经 常安 装 补丁 并 测试 您 的 补丁 ， 确 保 它们 应 用 正确 。 每 天 扫描 系统 以 查找 需 1. 确定 需要 修补 的 系统 。 
要 修补 的 合 规 性 问题 和 安全 漏洞 。 根 据 您 的 威胁 模型 以 及 风险 、 性 能 和 时 间 2 根据 您 的 威胁 模型 、 预 期 风 
考量 ， 确 定 纠正 行动 的 优先 级 。 定 期 修补 所 有 适用 的 系统 ， 与 重要 问题 保持 令 、 性 能 影响 和 可 用 修补 窗 
同步 。 尽 快 为 关键 问题 和 已 知 漏洞 应 用 补丁 。 将 安装 了 补丁 的 系统 重新 投入 确定 操作 的 优先 级 。 
使 用 之 前 ， 确 保 对 其 进行 功能 测试。 
_ 本 3. 自 动 应 用 补丁 以 提高 传统 和 混 
您 还 应 该 更 新 您 的 修补 策略 ， 以 考虑 从 基础 镜像 部 署 的 云 和 容器 化 资源 。 确 合 云 基础 架构 的 一 致 性 和 可 重 
保 基础 镜像 符合 您 企业 的 安全 基线 。 与 物理 和 虚拟 化 系统 一 样 ， 定 期 扫描 和 复 性 。 
修补 您 的 基础 镜像 。 修 补 基础 镜像 时 ， 基 于 该 镜像 重建 和 重新 部 署 所 有 容器 
和 云 资源 。 4. 定 期 重新 评估 和 调整 您 的 修补 
_ | 策略 ， 与 不 断 发 展 的 功能 、 技 
最 后 ， 应 用 自动 化 来 简化 修补 操作 。 创 建 用 于 修补 的 自动 化 工作 流 ， 以 加 快 本 


和 威胁 同 J 


操作 、 降 低 错 误 风险 并 提高 跨 系统 的 一 致 性 。 例 如 ， 您 可 以 为 应 用 和 基础 架 
构 使 用 基于 Jenkins 的 持续 集成 /持续 部 署 CI/CD) 管道 ， 以 实现 生命 周期 
流程 自动 化 ， 例 如 修补 。 OO 


和 ty 
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安全 注意 事项 


开 产 技术 


重要 意义 
开源 技术 是 云 和 容器 操作 不 可 或 缺 的 一 部 分 ， 但 如 果 您 的 企业 使 用 未 签名 的 。 “中 虹 
软件 或 以 不 安全 的 方式 部 署 这 些 技术 ， 它 们 可 能 会 成 为 安全 漏洞 的 根源 。 兰 试 这 些 操作 来 提高 您 使 用 的 开源 
接 使 用 来 自 上 游 社 区 、 未 经 审查 的 开源 软件 可 能 会 让 您 面临 安全 漏洞 和 供应 技术 的 安全 性 。 
链 攻击 ， 这 些 攻击 利用 第 三 方 服务 和 软件 的 弱点 来 危害 最 终 目标 。 这 些 攻击 
t B 6 
有 多 种 形式 ， 包 括 支持 软件 更 新 和 将 恶意 代码 注入 合法 软件 。2018 年 ， 供 应 。 ”志江 为 商用 版 本 i 
链 攻击 增加 了 78%5。 将 您 使 用 的 直接 来 自 于 上 游 开源 项 
目的 开源 软件 迁移 到 受信 任 的 商用 
建议 和 最 佳 实践 版 本 。 这 些 版 本 经 过 测试 和 验证 ， 
确保 您 了 解 谁 分 发 您 使 用 的 开源 技术 并 以 安全 的 方式 部 署 这 些 技 术 。 首 先 ， 可 降低 错误 和 安全 漏洞 的 风险 。 它 
盘点 您 的 企业 当前 使 用 的 开源 技术 。 停 止 使 用 任何 不 是 从 已 知 、 受 信任 的 来 。。”” 们 可 能 还 包括 企业 支持 ， 可 以 快速 
源 获得 的 技术 。 定 义 流程 和 策略 ， 将 剩余 技术 重新 归于 IT 和 安全 团队 控制 。 提供 安全 补丁 并 提供 有 关 配 置 软件 
安全 的 指导 。 
您 还 应 该 制定 以 安全 为 重点 的 开源 技术 使 用 策略 。 您 的 策略 应 包括 确保 您 的 BE 
开源 技术 来 自 可 靠 来 源 、 以 自动 化 方式 不 断 修补 并 在 配置 时 考虑 到 安全 防护 。 阅读 本 文 ， 了 解 有 关 安 全 开源 技术 
的 措施 。 此 外 ， 您 应 该 鼓励 使 用 企业 级 开源 产品 ， 包 括 贯 穿 其 整个 生命 周期 ” ”的 更 多 信息 。 
的 企业 支持 。 
基于 模板 部 署 开源 软件 。 
检查 您 的 管理 和 平台 工具 ， 了 解 它 
们 是 否 提供 基于 预定 义 、 经 过 审查 
的 模板 的 自助 服务 置 备 。 您 可 以 使 
模板 来 确保 只 部 署 受信 任 的 最 新 
开源 技术 。 快 速 、 自 动 化 的 部 署 还 
AN 了 88% 2018 年 发 生 的 供应 链 攻击 较 上 -年 鼓励 用 户 使 用 授权 的 IT 资源 ， 而 
增幅 。 不 是 部 署 IT 和 安全 团队 无 法 控制 
的 资源 。 
© 
CR 
A®@, 
5 Symantec， 互 怠 网 威 助 挛 告 ， 笋 24 关 ” ，2019 生 2 局 。 
J 
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准备 好 开始 了 吗 ? 


混合 云 安 全 是 所 有 企业 关注 的 重要 问题 。 无 论 您 处 于 混合 云 之 旅 的 哪个 阶段 ， 红 帽 都 可 以 帮 
助 您 部 署 安全 至 上 的 混合 云 。 和 凭借 集成 的 内 置 安 全 功能 ， 红 帽 的 生产 级 开源 软件 产品 组 合 为 
您 提供 了 克服 当前 和 未 来 安全 与 合 规 挑战 的 工具 和 平台 。 红 帽 还 提供 企业 级 支持 、 实 践 培训 


和 专家 服务 ， 帮 助 您 更 高 效 、 更 安全 地 构建 和 运 维 混合 云 环 境 。 
阅读 这 些 资源 ， 了 解 有 关 红 帽 安 全 性 和 合 规 性 方法 的 更 多 信息 。 
“混合 云 安全 防护 概述 

“ 为 什么 选用 红 帽 技 术 来 打造 IT 防护 

“实现 安全 防护 与 合 规 自动 化 的 原因 

， 红 帽 * 服务 : 实现 系统 安全 防护 与 合 规 自动 化 


免费 的 业务 探讨 预约 ， 请 访问 : 


redhat.com/zh/services/consulting 


Lucy Huh Kerner 是 红 帽 资深 首席 安全 全 球技 术 宣讲 人 和 战略 师 


Lucy Huh Kerner 帮助 培养 安全 思想 领导 力 ， 并 领导 全 球 整个 红 帽 产品 组 合 的 安 


技术 和 上 市 战略 。 此 外 ， 她 还 帮助 


创建 安全 相关 技术 内 容 ， 并 提供 给 现场 、 客 户 、 合 作 伙伴 、 分 析 师 和 媒体 ， 还 在 众多 活动 中 发 表演 讲 。 在 担任 此 职务 
之 前 ， 她 是 红 帽 北美 公共 部 门 团队 的 资深 云 解决 方案 架构 师 。 凭 借 她 在 云 技术 领域 的 专业 知识 ， 她 为 北美 公共 部 门 众 


多 客户 设计 和 展示 红 帽 云 解决 方案 ， 以 支持 红 帽 云 销售 工作 。Lucy 拥有 超过 15 重 


F 的 软件 和 硬件 开发 工程 师 和 售 前 解 


决 方案 架构 师 的 专业 经 验 ， 工 作 曾 涉及 网 络 安 全 的 各 方面 。 
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